1
오늘 인터넷 검색 Struts2에서 사용자 입력을 이스케이프하는 방법에 대한 샘플 또는 모범 사례를 찾을 수 없습니다. 물론 validate() 메서드에서 문자를 수동으로 변환 할 수도 있지만 너무 명확하게 보입니다. 그래서 코드/스크립트 삽입을 피하기 위해 자동화가 존재할 수 있습니까?struts2에서 특수 문자를 이스케이프 처리하는 예제가 부족합니다.
A
답변
0
기본적으로 property tag은 html 특수 문자를 이스케이프 처리하므로 필터링 ('이스케이프'및 'escapeJavascript'속성 참조)을 유지하는 한 그 점에서 매우 안전합니다. .
webapp에서 모든 사용자 입력을 검사하는 좀 더 일반적인 경우 (이론적으로 param 인터셉터를 확장하거나 다른 인터셉터 또는 필터를 만들 수 있음) 일반적인 규칙을 설정하는 것은 거의 불가능합니다/패턴은 금지되어 있습니까?) 무엇을해야합니까? (자동으로 지우거나 유효성 검사 오류/경고를 던지십시오.)
아마도 웹 페이지 (일반적으로 사용자 의견)에 표시되고 제한된 HTML 태그 집합을 수용 할 수있는 사용자 입력의 더 특별한 경우를 생각하고있을 것입니다. 이 경우, 필자는 아마도 그러한 필드를 다루 겠지만 아마도 유틸리티 살균제 코드를 작성하고 해당 세터 또는 게터에 연결하십시오. 더 정교한 솔루션은 해당 필드에 대해 자신 만의 클래스 (UserComment)를 정의하는 것입니다. 클래스는 기본적으로 String을 래핑 한 다음 해당하는 Type Converter을 작성하여 위생 처리에 대한 책임을집니다. 다시 말하지만, 금지 된 문자/태그의 경우 취할 조치를 결정해야합니다.